- 如果想要永久生效,我们要编辑/etc/sysctl.conf文件,设置net.ipv4.ip_forward = 1,然后用sysctl -p命令使配置文件生效。
- 我们使用-t nat参数指明使用nat表,因为iptables默认使用filter表。
nat表同filter表一样有三条缺省的"链"(chains):
POSTROUTING:定义进行源地址转换规则,重写数据包的源IP地址
PREROUTING:定义进行目的地址转换的规则,可以把外部访问重定向到其他主机上
OUTPUT:定义对本地产生的数据包的目的转换规则。
我们要利用iptables进行NAT转换时,使用的动作主要为SNAT、DNAT和REDIRECT:
SNAT:源地址转换
DNAT:目的地址转换
REDIRECT:端口重定向
(1)规则操作
-A:在链的尾部添加一条规则
-D CHAIN [num]: 删除指定链中的第num条规则
-I CHAIN [num]:在指定链内第num条位置插入一条规则
-R CHAIN [num]: 替换链内指定位置的一条规则
(2)源/目的IP地址
-s:指定源地址
--dst:指定目的地址
(3)网络接口
-i:入站接口。对于`PREROUTING`链,只能用-i指定进来的网络接口
-o:出站接口。对于POSTROUTING和OUTPUT,只能用-o指定出去的网络接口
(4)动作
ACCEPT:放行
DROP:丢弃
REJECT:拒绝
MASQUERADE:地址伪装
LOG:日志
MARK:标记
源/目的转发实例
1.源NAT(SNAT)
更改所有来自192.168.1.0/24的数据包的源IP地址为123.4.5.100
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to 123.4.5.100
2.目的NAT(DNAT)
更改所有来自192.168.1.0/24的数据包的目的ip地址为123.4.5.100
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -i eth1 -j DNAT --to 123.4.5.100
端口转发实例
1.本机端口转发
把发往本机80端口的数据重定向到8080端口
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
2.远程端口转发
把访问123.4.5.100:8080的数据包转发到123.4.5.200:80
iptables -t nat -A PREROUTING -d 123.4.5.100 -p tcp --dport 8080 -j DNAT --to-destination 123.4.5.200:80
filter表
#先放行ssh,INPUT链及OUTPUT链都要放行。
iptables -A INPUT -d 176.16.128.1 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 176.16.128.1 -p tcp --sport 22 -j ACCEPT
#添加新规则的时候要插入在默认拒绝规则前,除这些规则外的都将拒绝。
iptables -A INPUT -d 176.16.128.1 -j REJECT
iptables -A OUTPUT -s 176.16.128.1 -j REJECT
#设置链上的默认策略为允许。
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
保存规则:
service iptables save
重载规则:
service iptables restart
默认重载:/etc/sysconfig/iptables
配置文件:/etc/sysconfig/iptables-config
https://www.cnblogs.com/qiangyuzhou/p/10657494.html